Rischioso consegnare il Green Pass all’azienda per evitare i controlli: ecco perché - Agenda Digitale

decreto 127/21

Rischioso consegnare il Green Pass all’azienda per evitare i controlli: ecco perché

Il testo dell’emendamento, al decreto 127/21, che consente ai lavoratori di consegnare il green pass al datore di lavoro per essere esentati dai controlli sembra semplice, lineare e applicabile ma nasconde alcune insidie di cui è bene tener conto per evitare che di nuovo, per un fine nobile, si realizzi un disastro

18 Nov 2021

Con un voto di fiducia, è diventata legge una modifica la DL 127/21 che disciplina le modalità di verifica del Green Pass sul luogo di lavoro.

Già negli ultimi giorni era stato notato un emendamento volto a “semplificare e razionalizzare le verifiche” del Green pass, sia in ambito pubblico che privato e, da subito, sono stati evidenziati alcuni aspetti problematici della sua applicazione. Ora quell’emendamento è diventato una norma di legge e deve essere applicato.

Green pass aziende, guida agli obblighi per lavoratori e datori

Cosa prevede il nuovo comma al decreto

Il nuovo comma recita questo:

“Al fine di semplificare e razionalizzare le verifiche di cui al presente comma, i lavoratori possono richiedere di consegnare al proprio datore di lavoro copia della propria certificazione verde Covid-19. I lavoratori che consegnano la predetta certificazione, per tutta la durata della relativa validità, sono esonerati dai controlli da parte dei rispettivi datori di lavoro”.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy

Il testo sembra semplice, lineare e applicabile ma nasconde alcune insidie di cui è bene tener conto per non trovarsi in situazioni problematiche ed inattese che trasformano le parole in premessa in una farsa.

Le insidie della norma

L’asserita finalità di semplificazione e razionalizzazione non trova alcun riscontro reale e i risvolti applicativi, al contrario, rendono il quadro complessivo ben più complesso e caotico di quello precedentemente in vigore. Come spesso rilevato nelle recenti norme anti-contagio, le nobili intenzioni dichiarate sono frustrate da contenuti che le rendono mero esercizio dialettico, incoerente rispetto a quanto effettivamente disposto.

L’introduzione di un nuovo archivio in azienda

Il primo elemento che genera maggiore complicazione è l’introduzione di un nuovo archivio in azienda. Trattandosi di un archivio di dati personali particolari (c.d. Dati Sensibili) l’azienda è tenuta ad una modalità di raccolta, conservazione e utilizzo decisamente particolare e rafforzata.

L’acquisizione dei Green Pass deve avvenire dalle mani del lavoratore, eventualmente con busta chiusa indirizzata riservata e personale, certamente non possono essere inviati via email, via WhatsApp o con altri sistemi di messaggistica e non è possibile alcun’altra forma di invio e raccolta che non sia sicura e protetta, come merita ogni dato relativo alla salute e, per definizione, particolare.

L’esistenza dell’archivio determina per l’azienda la necessità di una conservazione sicura, protetta rispetto ad accessi non autorizzati e, quindi, è necessario inoltre definire chi abbia accesso a tali documenti e attuare modalità che garantiscano l’impossibilità di accesso ad ogni altra persona. Non basta chiaramente una cartellina con scritto riservato e non è possibile utilizzare un normale cassetto sotto la scrivania. Basti ricordare, a titolo di esempio, che le modalità di gestione di altri documenti contenenti dati personali particolari relativi alla salute è estremamente rigide. Si pensi alla busta sigillata contenente le cartelle sanitarie dei lavoratori, emesse a seguito di sorveglianza sanitaria, oppure il regime di protezione che deve essere garantito nella conservazione e distribuzione dei prospetti paga. L’archivio dei Green Pass dovrà essere gestito in modo analogo e, certamente, non meno cautelativo di tali documenti.

Sicuramente dovrà essere aggiornato il registro dei trattamenti e dovrà essere condotta una specifica valutazione di impatto (DPIA) per identificare i rischi connessi alla raccolta, alla conservazione, all’uso e alla distruzione dei Green Pass dei lavoratori.

Questa valutazione, decisamente non qualificabile né come semplificazione né come razionalizzazione, è tanto un obbligo quanto una necessità e permette di individuare le misure necessarie da attuare. A titolo di esempio, dovrà essere programmata una modalità di distruzione sicura che si fa tanto più complessa quanti più sono i green pass raccolti. Se per poche decine di fogli potrebbe essere sufficiente un distruggidocumenti da ufficio (almeno Livello di Sicurezza 4), con volumi più elevati potrebbe diventare necessario ricorrere a servizi esterni o organizzare complesse attività di distruzione sicura. Attualmente questa attività è prevista per il primo gennaio 2022, salvo proroghe che, personalmente, darei per scontato che siano già nelle intenzioni del Governo.

Se la conservazione avvenisse con strumenti informatici, non avremmo alcun miglioramento. I requisiti di protezione resterebbero invariati, semplicemente dovrebbero essere declinati in modo coerente con la natura digitale del dato: dovrebbero essere prese in considerazione le misure logiche di accesso ai dati, le tecnologie di cancellazione sicura del supporto di memorizzazione e ogni altro elemento tipico della sicurezza del dato in forma digitale.

L’introduzione di una nuova categoria di lavoratore

Il secondo elemento che ci allontana dalla semplificazione è l’introduzione, di fatto, di una nuova categoria di lavoratore. Con buona pace del principio di uguaglianza, ci troviamo oggi di fronte a categorie ben distinte e facilmente riconoscibili di lavoratori, anche perché sono trattati in modi differenti e con strumenti differenti all’atto dei controlli in azienda:

  • Lavoratori ordinari da sottoporre quotidianamente al controllo
  • Lavoratori esentati dai controlli perché hanno chiesto ed ottenuto di consegnare il green pass all’azienda
  • Lavoratori esentati dai controlli poiché esentati dalla campagna vaccinale
  • Lavoratori esterni (che non beneficiano di alcuna esenzione) e che dovranno essere controllati in ogni caso

In sostanza, una giungla di casistiche differenti.

Questa pluralità di casistiche preoccupa ogni DPO poiché, dovendo attuare i controlli in modi così variegati, di fatto, si genera visibilità del diverso regime per ciascun lavoratore, a meno di procedere a controlli individuali in ambienti riservati. Probabilmente saranno generate liste di lavoratori esentati.

Queste liste non sono altro che una estrapolazione dell’archivio dei green pass appena descritto e ne portano tutto il peso sotto il profilo della protezione dei dati personali. Non sono solo nomi di lavoratori: la lista degli esenti è un aggregato di nomi accomunati da una caratteristica ben precisa e univocamente riconoscibile ovvero lo stato vaccinale o di guarito. L’accesso alla lista, la sua conservazione, il suo aggiornamento, la sua distruzione, sono tutti aspetti da considerare in modo estremamente serio e strutturato, da non lasciare al caso e, anzi, ai quali dedicare la massima attenzione per non incorrere in drammatiche violazioni della normativa che impone la protezione del dato personale.

Non tarderanno a manifestarsi casi di mala gestione di queste delicate liste che, per sciatteria o ignoranza, saranno appese in bacheca o diffuse a tutti tramite intranet o, ancora, appallottolate e buttate nel cestino a fine giornata.

Sempre pensando alle semplificazioni e razionalizzazioni, non possiamo dimenticare il fatto che i lavoratori potranno recarsi presso aziende clienti ove l’esenzione non sarà riconosciuta e dove i controlli saranno comunque applicati, anche a chi ha depositato presso il proprio datore di lavoro il green pass. L’abitudine ad entrare in azienda senza subire controlli e la spensieratezza del nuovo regime “semplificato” potrà facilmente generare blocchi all’esecuzione di attività esterne per le quali continuerà ad essere necessario il Green Pass che il lavoratore avrà dimenticato nell’armadietto e al quale avrà smesso volentieri di pensare.

Nei casi peggiori, potrebbe persino capitare che, per snellire queste procedure di autorizzazione all’accesso dei fornitori, stante il clima generale di semplificazione e banalizzazione del dato personale, le aziende inizino a includere il certificato verde tra i documenti scambiati, magari via email, e recapitati prima dell’intervento programmato in portineria, all’ufficio sicurezza, all’ufficio manutenzioni, ecc.

L’elemento più bizzarro della nuova norma rimane la formula, cortese ed educata, con cui il lavoratore chiede all’azienda di poter consegnare il proprio Green Pass.

Probabilmente, in questo modo, il legislatore ha provato a superare il rischio di imposizione datoriale e il fatto che ai lavoratori possa essere chiesto di consegnare il proprio green pass, a prescindere dalla volontà di farlo.

Possibili scenari e allarme contenziosi

Di nuovo, per un fine nobile, si realizza un disastro.

Il lavoratore che chiede di poter consegnare il proprio documento riservato, presso un’azienda accorta, dovrebbe ricevere come unica possibile risposta un cortese rifiuto. Nelle aziende dotate di DPO, tali richieste saranno scartate e non sarà data la possibilità ai lavoratori di depositare i propri Green Pass. La norma, infatti, non lo prevede come obbligo e lascia al datore di lavoro l’onere di decidere e attuare le modalità di controllo a proprio insindacabile giudizio. Non sono previste deroghe, forzature o indicazioni di alcun tipo. Solo ed unicamente il datore di lavoro definisce come avverranno i controlli nella propria azienda e, se il datore di lavoro non intende costituire un archivio dei green pass dei dipendenti, a nulla varrebbero le richieste dei lavoratori.

Ci sono tutti gli ingredienti per la tempesta perfetta che aumenterà il numero dei contenziosi e delle vertenze, soprattutto nei contesti più complessi e problematici, dove i conflitti sono alimentati da queste occasioni o pretesti vissuti in modo polarizzato ed ideologico dalle parti.

Sono sicuro che l’idea di smettere di essere controllati quotidianamente sia allettante e che molti lavoratori darebbero volentieri visibilità del proprio GP in cambio di maggior spensieratezza, senza tuttavia rendersi conto delle implicazioni che questo comporta.

Sono altrettanto sicuro che molte aziende, ovviamente senza alcuna intenzione di proteggere adeguatamente i dati, caldeggeranno la raccolta dei Green Pass e che, in tali contesti, non sarà possibile sottrarsi senza conseguenze negative per il lavoratore.

Basti ricordare che la dottrina, in modo costante ed uniforme, nonché le linee guida dell’EDPB e dei Garanti e persino la giurisprudenza sono concordi nel ritenere irrilevante il consenso del lavoratore rispetto al trattamento di dati personali da parte dell’azienda. Senza entrare in tecnicismi, si fatica ad individuare una base di legittimazione per il trattamento suggerito da questo sciagurato e possibilista nuovo comma.

Gli interrogativi senza risposta

Sempre sul piano tecnico, emergono importanti interrogativi che, tuttavia, rimarranno senza risposta a causa di difetti di progettazione dell’intero ecosistema del Certificato Verde: non sarà possibile revocare l’esenzione dai controlli qualora il green pass archiviato in azienda dovesse essere revocato.

Quale che possa essere il motivo (revoca per ragioni sanitarie, uso illecito, acquisto sul mercato nero di green pass contraffatti) il lavoratore continuerà ad entrare in azienda, senza dover mostrare il green pass e senza essere sottoposto a controlli, di fatto, vanificando il senso stesso della revoca e, se la revoca corrisponde a un reale pericolo, amplificando la portata del rischio sottostante.

Con un minimo di competenza e di attenzione, sarebbe stato possibile prevedere la consegna del QRCode anziché del certificato verde. I due documenti, pur contenendo di fatto i medesimi dati, hanno un livello di leggibilità completamente differente. Infatti, il Certificato Verde presenta, in chiaro ed immediatamente leggibili, tutti i dati relativi alla causa della sua emissione (vaccino effettuato, data di scadenza, numero di dosi, ecc) mentre il solo QR code permette di decodificare legalmente, con la app autorizzata dalla legge, solo le generalità dell’intestatario e lo stato di validità. Ogni altra informazione è sì presente ma è nascosta agli occhi, come fosse in una busta chiusa. Aprire questa busta (decodificando con altre app) è illecito e sarebbe stato, tra i due, uno scenario preferibile.

La massima autorità nazionale in materia di protezione dei dati personali, il Garante Privacy, ha tempestivamente messo a disposizione del legislatore la propria competenza evidenziando, in via preventiva, una serie di rilievi che, se ascoltati, avrebbero permesso di scrivere una norma decisamente migliore.

Conclusioni

In conclusione, vedo decisamente poche semplificazioni e ancor meno razionalità nella nuova norma che entra a pieno titolo nel nostro ordinamento giuridico.

Con la particolarissima prospettiva che mi compete, come DPO, dovrò adoperarmi affinché la norma sia ignorata dalle aziende chiamate ad effettuare i controlli e fare in modo che questi continuino ad essere condotti in modo lecito e coerente con il GDPR.

WHITEPAPER
Quali sono le strategie da seguire per difendersi contro gli attacchi di phishing?
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA

Articolo 1 di 4